用于模糊测试的工具
用于模糊测试的工具
Wfuzz
Wfuzz通过将占位符 FUZZ 替换为 wordlist 值来工作。为了更清楚地理解这一点,让我们考虑一个例子:
$ wfuzz -w userIDs.txt https://example.com/view_photo?userId=FUZZ
在上面的命令中,userIds.txt 是一个包含数字 ID 值的 worldlist 文件。在这里,我们告诉 wfuzz 对示例 URL 的请求进行模糊测试。请注意 URL 中的 FUZZ 单词,它将充当 wfuzz 的占位符,以替换单词列表中的值。将插入 userIDs.txt 文件的所有数字 ID 值,替换 FUZZ 关键字。
Ffuf
Ffuf是一个用 Go 语言编写的网络模糊测试工具,本质上是非常快速和递归的。它的工作方式类似于 Wfuzz,但相比之下它是递归的。Ffuf 还可以通过用 worldlist 值替换占位符 FUZZ 来工作。例如:
$ ffuf -w userIDs.txt -u https://example.com/view_photo?userId=FUZZ
这里的 -w 是 wordlist 的标志,而 -u 是目标 URL 的标志。其余工作机制与Wfuzz相同。它用 userIDs.txt 值替换了 FUZZ 占位符。
GoBuster
GoBuster是另一种用 Go 语言编写的模糊器,最常用于模糊 URI、目录/路径、DNS 子域、AWS S3 存储桶、虚拟主机名,并支持并发。例如:
$ gobuster dir -w endpoints.txt -u https://example.com
在上面的命令中,dir 指定我们正在对一个目录进行模糊测试,-u 是 URL 的标志,-w 是 wordlist 的标志,其中 endpoints.txt 是将从中获取有效负载的 worldlist 文件。该命令对端点运行并发请求以查找可用目录。
Fuzz字典和参考资料
在上面的例子中,我们已经看到了为什么我们需要一个字典。仅字典是不够的,必须非常适合你的 fuzzing 场景。如果你没有找到任何符合必要场景的词表,请考虑生成你自己的字典。下面提供了一些流行的字典和参考资料。
代码语言:javascript
复制
(XSS) 备忘单 https://portswigger.net/web-security/cross-site-scripting/cheat-sheet AwesomeXSS https://github.com/s0md3v/AwesomeXSS 常用的payload https://github.com/swisskyrepo/PayloadsAllTheThings https://github.com/minimaxir/big-list-of-naughty-strings https://github.com/Bo0oM/fuzz.txt FuzzDB https://github.com/fuzzdb-project/fuzzdb bl4de字典 https://github.com/bl4de/dictionaries 重定向相关payload https://github.com/cujanovic/Open-Redirect-Payloads EdOverflow 漏洞赏金备忘单 https://github.com/EdOverflow/bugbounty-cheatsheet SecLists https://github.com/danielmiessler/SecLists XssPayloads https://twitter.com/XssPayloads XssPayloads列表 https://github.com/payloadbox/xss-payload-list
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步